آلودگی بیش از 500 هزار روتر به بدافزار VPNFilter

بدافزار vpnfilter

در اوایل خرداد سیسکو اعلام کرد که بیش از 500 هزارنیم میلیون روتر و تجهیزات شبکه به بد افزار VPNFilter آلوده شده اند، اکنون مشخص شده است این بد افزار که روسیه در توسعه آن دست داشته، خطرناک تر از آن است که تصور می شد.

به تازگی محققان تیم امنیتی سیسکو اعلام کرده اند که این بد افزار مدل های متنوع تری از تجهیزات شبکه را تحت تأثیر قرار داده اند؛ مدل هایی که پیش از این تصور می شد آلوده نمی شوند.

پلاگین های VPNFilter کدام ها هستند؟

این بدافزار پلاگین های متنوعی دارد که در ادامه به آنها اشاره می کنیم:

ssler که اِسلِر خوانده می شود برای ردیابی و دستکاری ترافیک وب روی پورت 80 و به منظور حمله مرد میانی به کار می رود که در ادامه در مورد آن بیشتر توضیح می دهیم.
dstr که پلاگینی برای بازنویسی فایل های فرم ویر دستگاه است. سیسکو دریافته بود که VPNFilter می تواند فرم ویر دستگاه را پاک کند با این حال اکنون مشخص شده که این قابلیت به مرحله سوم حمله اختصاص دارد که این موضوع را نیز در ادامه بیشتر تشریح خواهیم کرد.

ps پلاگینی است که می تواند پکت های شبکه را شنود کرده و برخی از انواع ترافیک شبکه را حذف کند. سیسکو معتقد است این پلاگین می تواند برای پکت های ویژه مودباس به کار روند که به طور ویژه در نرم افزارهای صنعتی تجهیزات اسکادا کاربرد دارند. با این حال اخیراً شواهدی دال بر کاربرد این پلاگین در نظارت بر تجهیزات صنعتی از طریق VPN روی روتر تی پی-لینک R600 مشاهده شده است.

tor که پلاگینی برای استفاده توسط بات های VPNFilter به منظور ارتباط با سرورها از طریق شبکه های tor است.

اصلی ترین قابلیت VPNFilter چگونه عمل می کند؟

در بین قابلیت های VPNFilter که به تازگی کشف شده، ماژول ssler قابل توجه ترین آنها است که ترافیک های دریافتی از وب را تحت تأثیر قرار می دهد. هکرها می توانند در میانه مسیرِ تبادل اطلاعات قرار گرفته و اطلاعات مخرب مورد نظر خود را به ترافیک تزریق کنند و از مسیر روتر آلوده شده عبور دهند.

این اطلاعات مخرب می توانند به گونه ای طراحی شوند که یک دستگاه خاص که به روتر آلوده متصل شده را هدف قرار دهند. اسلر همچنین می تواند برای دستکاری داده های تحویل داده شده توسط وبسایت ها به کار رود.

اسلر همچنین به گونه ای طراحی شده که می تواند داده های حساسی که توسط یک دستگاه انتهایی متصل و خارج از اینترنت رد و بدل می شود را سرقت کند. این ماژول به طور فعال آدرس های وب را بررسی می کند تا پسوردها و دیگر اطلاعات حساس رد و بدل شده را بیابد و آنها را به سرورهای مورد نظر حمله کنندگان (حتی اکنون که بیش از دو هفته از بسته شدن سرورهای مورد نظر هکرها می گذرد) ارسال کند.

به منظور دور زدن رمزنگاری TLS که در واقع برای مقابله با چنین حملاتی طراحی شده، اسلر تلاش می کند اتصالات پروتکل رمز نگاری شده HTTPS را به ترافیک متن ساده مبتنی بر HTTP (بدون رمزگذاری) تنزل دهد. پس از آن هِدر درخواست بسته داده را به گونه ای تغییر می دهد که نقطه نهایی اتصال قادر به استفاده از ارتباط رمزنگاری شده نباشد.

همه ترافیک شبکه متعلق به VPNFilter است

تا پیش از این تصور می شد هدف VPNFilter برای حمله به روترهای خانگی-اداری، سوییچ ها و دستگاه های ذخیره سازی متصل به شبکه است. در حالی که اکنون (در روش هایی که در بالا توضیح داده شد) مشخص شده که هدف اصلی این بد افزار حمله به مالکان روترها است.

بنا بر گفته «کرِگ ویلیامز» مدیر ارشد فناوری در شرکت امنیتی تالوس (از زیر مجموعه های سیسکو)، بدافزار مورد بحث می تواند موجودی حساب بانکی شما را تغییر دهد و حتی هر داده ای که از دستگاه شما خارج می شود یا با آن دریافت می کنید را دستکاری کند.

چه دستگاه هایی در مقابل VPNFilter آسیب پذیر هستند؟

شرکت تالوس اعلام کرده دستگاه هایی که در مقابل VPNFilter آسیب پذیر هستند متنوع تر از آن است که پیش از این تصور می شد. تخمین زده شده که به تعداد 200 هزار عدد روتر دیگر نیز به تعداد 500 هزار قبلی اضافه شوند. در ادامه می توانید لیست تمامی دستگاه هایی که تاکنون آسیب پذیر تشخیص داده شده اند را مشاهده کنید:

دستگاه های ایسوس :

  • RT-AC66U
  • RT-N10
  • RT-N10E
  • RT-N10U
  • RT-N56U
  • RT-N66U

دستگاه های دی-لینک :

  • DES-1210-08P
  • DIR-300
  • DIR-300A
  • DSR-250N
  • DSR-500N
  • DSR-1000
  • DSR-1000N

دستگاه های هواوی :

  • HG8245

دستگاه های لینکسیس :

  • E1200
  • E2500
  • E3000
  • E3200
  • E4200
  • RV082
  • WRVS4400N

دستگاه های میکروتیک :

  • CCR1009
  • CCR1016
  • CCR1036
  • CCR1072
  • CRS109
  • CRS112
  • CRS125
  • RB411
  • RB450
  • RB750
  • RB911
  • RB921
  • RB941
  • RB951
  • RB952
  • RB960
  • RB962
  • RB1100
  • RB1200
  • RB2011
  • RB3011
  • RB Groove
  • RB Omnitik
  • STX5

دستگاه های نت گیِر :

  • DG834
  • DGN1000
  • DGN2200
  • DGN3500
  • FVS318N
  • MBRN3000
  • R6400
  • R7000
  • R8000
  • WNR1000
  • WNR2000
  • WNR2200
  • WNR4000
  • WNDR3700
  • WNDR4000
  • WNDR4300
  • WNDR4300-TN
  • UTM50

دستگاه های کیونپ :

  • TS251
  • TS439 Pro

سایر دستگاه های ذخیره سازی متصل به شبکه کیونپ که نرم افزار QTS را اجرا می کنند .

دستگاه های تی پی لینک :

  • R600VPN
  • TL-WR741ND
  • TL-WR841N

دستگاه‌های یوبیکیوتی :

  • NSM2
  • PBE M5

دستگاه های آپوِل :

  • یک مدل نامشخص

دستگاه های زد تی ای :

  • ZXHN H108N

بد افزار جدید کاملاً هدفمند عمل می کند

در یکی از بررسی ها مشخص شده که ترافیکِ داده های سیستم های کنترلی ویژه ای که به شبکه VPN روتر تی پی-لینک R600 متصل بوده اند مورد پایش قرار گرفته اند. علاوه بر این ماژول شنود مورد بحث در پی اتصالات آدرس های IP تخصیص داده شده بوده. همچنین بسته های داده ای که 150 بایت یا بیشتر حجم داشته اند، توسط بد افزار مورد نظارت قرار گرفته اند.

ویلیامز در این باره معتقد است که آنها ( هکرها ) به دنبال موارد بسیار خاصی هستند و قصد ندارند هر چه می توانند را از شبکه جمع کند و در واقع در پی مواردی از جمله پسوردها و گواهینامه ها هستند. او اعلام کرده که در حال حاضر تلاش می کنند دریابند که چه کسانی از این بدافزار بهره می برند.

مراحل عملکرد VPNFilter

در گزارش به جزئیات ماژول خود تخریبی اشاره شده که می تواند به صورت خودکار ردپای VPNFilter را از دستگاه حذف کند. پیش از این اشاره شده بود که می توان با ریبوت کردن روترها، از فعالیت VPNFilter جلوگیری کرد، ولی گزارش ها نشان می دهند که بات نت (شبکه هایی متشکل از مجموعه ای از کامپیوترها که توسط مهاجمان برای انجام فعالیت های مخرب به کار می روند) مرتبط با آن هنوز فعال است.

ویلیامز عقیده دارد که دلیل این موضوع به طراحی عمداً تقسیم بندی شده بد افزار باز می گردد؛ در مرحله اول به عنوان یک درب پشتی عمل می کند و یکی از معدود بخش های شناخته شده آن می تواند از فرایند ریبوت شدن روتر نیز جان به در ببرد. مراحل دوم و سوم نیز قابلیت های پیشرفته ای را برای حملات مرد میانی و قابلیت خود تخریبی فراهم می کنند که به این ترتیب با هر بار روبوت شدن روتر مجدداً فرایند نصب بد افزار آغاز می شود.

روتر

به منظور تطبیق با این محدودیت، مرحله اول به مکانیزم پیچیده ای برای یافتن سرورهایی تکیه می کند که اطلاعات مورد نظر برای مراحل دوم و سوم در آنها موجود هستند. ابتدا این اطلاعات در وبسایتی قرار داده شده بود که پس از مسدود شدن آن، VPNFilter از یک وبسایت جایگزین استفاده کرد.

با این حال دستگاه هایی که پیش از مسدود شدن وبسایت اولیه در مرحله اول آلوده شده بودند، می توانند توسط هکرها مورد سوء استتفاده قرار گرفته و به صورت دستی VPNFilter روی روتر نصب شود. به این ترتیب می توان گفت که صدها هزار روتر همچنان به مرحله های اول و شاید دوم و سوم آلوده هستند.

آیا راهی برای اطلاع از آلوده بودن احتمالی روتر و حذف بد افزار وجود دارد؟

متأسفانه راه ساده ای برای این موضوع وجود ندارد. یک روش این است که در بین لاگ های ثبت شده در روتر جستجو کنید تا نمونه ای از مواردی که در گزارش سیسکو به آن اشاره شده را بیابید.

مورد دیگر مهندسی معکوس فرم ویر روتر یا حداقل دریافت ایمیج آن از روی روتر و مقایسه آن با نمونه مجاز است تا به این ترتیب تغییرات احتمالی آن مشخص شود. هر دو این روش ها از عهده بسیاری از مالکان روترها خارج است. باید اشاره کرد که محققان هنوز نمی دانند که روترها چگونه در مرحله اول آلوده شده اند.

مراحل پاکسازی کامل دستگاه بسته به مدل متفاوت است. در برخی مدل ها ممکن است با فشردن کلید ریست در پشت دستگاه و بازگشت به تنظیمات کارخانه، اطلاعات مرتبط با مرحله اول پاک شود. به این منظور توجه داشته باشید که در بسیاری از روترها فشردن سریع این کلید تنها دستگاه را ریست می کند و برای بازگشت به تنظیمات کارخانه باید آن را بیشتر و به میزانی که در دفترچه روتر به آن اشاره شده، نگه دارید (مثلا بیش از 5 یا 10 ثانیه).

در برخی مدل ها باید روتر را ریبوت کرده و به سرعت آخرین نسخه رسمی فرم ویر را روی آن نصب کنید. شاید هم در نهایت مجبور شوید یک روتر جدید خریداری کنید.

جمع بندی

کاربران روترها باید همواره پسوردهای پیش فرض روتر خود را تعویض کرده و در صورت امکان دسترسی ادمین از راه دور را نیز غیر فعال کنند. علاوه بر این می توان از یک فایروال قبل از روتر استفاده کرد تا به این ترتیب امنیت بالاتری فراهم شود. ویلیامز اعلام کرده که هنوز شواهدی مبنی بر آلودگی فرم ویرهای شخصی سازی شده Tomato و Merlin WRT و DD-WRT توسط VPNFilter مشاهده نشده البته احتمال آلودگی آنها منتفی نیست.

پیش از این FBI اعلام کرده بود که با ریبوت کردن روترها، VPNFilter غیر فعال می شود، ولی با توجه به گزارش اخیر، ویلیامز معتقد است که FBI حس امنیت غلطی را القا کرده و VPNFilter همچنان عملیاتی است و دستگاه های بیشتری از آنچه در ابتدا تصور می شد را آلوده کرده است.

منبع : digiato